Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Verwendung der IAM-Richtlinienbedingungen in Amazon EventBridge
Zum Erteilen von Berechtigungen geben Sie mithilfe der IAM-Richtliniensprache in einer Richtlinienanweisung die Bedingungen an, unter denen die Richtlinie wirksam werden soll. Beispielsweise kann festgelegt werden, dass eine Richtlinie erst ab einem bestimmten Datum gilt.
Eine Bedingung in einer Richtlinie besteht aus Schlüssel-Wert-Paaren. Bedingungsschlüssel unterscheiden nicht zwischen Groß- und Kleinschreibung.
Wenn Sie mehrere Bedingungen oder Schlüssel in einer einzigen Bedingung angeben, müssen alle Bedingungen und Schlüssel erfüllt sein, um eine Genehmigung EventBridge zu erteilen. Wenn Sie eine einzelne Bedingung mit mehreren Werten für einen Schlüssel angeben, wird die Genehmigung EventBridge erteilt, wenn einer der Werte erfüllt ist.
Sie können Platzhalter oder *Richtlinienvariablen* verwenden, wenn Sie Bedingungen angeben. Weitere Informationen finden Sie unter [Richtlinienvariablen](https://docs.aws.amazon.com/IAM/latest/UserGuide/policyvariables.html) im *IAM-Benutzerhandbuch*. Weitere Informationen zum Angeben von Bedingungen in einer IAM-Richtliniensprache finden Sie unter [Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/AccessPolicyLanguage_ElementDescriptions.html#Condition) im *IAM-Benutzerhandbuch*.
Standardmäßig können IAM-Benutzer und -Rollen nicht auf die [Ereignisse](eb-events.md) in Ihrem Konto zugreifen. Damit Benutzer auf Ereignisse zugreifen können, müssen sie für die `PutRule`-API-Aktion autorisiert sein. Wenn IAM-Benutzer oder -Rollen für die `events:PutRule`-Aktion autorisiert sind, können diese eine [Regel](eb-rules.md) erstellen, die mit bestimmten Ereignissen übereinstimmt. Damit die Regel jedoch nützlich ist, muss der Benutzer auch über Berechtigungen für die `events:PutTargets` Aktion verfügen, denn wenn Sie möchten, dass die Regel mehr als nur eine CloudWatch Metrik veröffentlicht, müssen Sie einer Regel auch ein [Ziel](eb-targets.md) hinzufügen.
Sie können eine Bedingung in der Richtlinienanweisung eines IAM-Benutzers oder einer IAM-Rolle bereitstellen, mit der der Benutzer oder die Rolle eine Regel erstellen kann, die nur für eine bestimmte Gruppe von Quellen und bestimmte Ereignistypen gilt. Zum Gewähren von Zugriff auf bestimmte Quellen und Ereignistypen verwenden Sie die Bedingungsschlüssel `events:source` und `events:detail-type`.
Ebenso können Sie eine Bedingung in der Richtlinienanweisung eines IAM-Benutzers oder einer IAM-Rolle bereitstellen, mit der der Benutzer oder die Rolle eine Regel erstellen kann, die nur für eine bestimmte Ressource in Ihren Konten gilt. Zum Gewähren von Zugriff auf eine bestimmte Ressource verwenden Sie den Bedingungsschlüssel `events:TargetArn`.
## EventBridge Bedingungsschlüssel
Die folgende Tabelle zeigt die Bedingungsschlüssel sowie Schlüssel- und Wertepaare, die Sie in einer Richtlinie in verwenden können EventBridge.
| Bedingungsschlüssel | Schlüssel-Wert-Paar | Bewertungstypen |
| --- | --- | --- |
| aws: SourceAccount | Das Konto, in dem die von `aws:SourceArn` angegebene Regel vorhanden ist. | Account Id, Null |
| war: SourceArn | Der ARN der Regel, die das Ereignis sendet. | ARN, Null |
| events:creatorAccount | `"events:creatorAccount":"creatorAccount"` Verwenden Sie für *creatorAccount* die Konto-ID des Kontos, das die Regel erstellt hat. Verwenden Sie diese Bedingung, um API-Aufrufe für Regeln aus einem bestimmten Konto zu autorisieren. | creatorAccount, Null |
| events:detail-type | `"events:detail-type":"detail-type "` Wo *detail-type* ist die Literalzeichenfolge für das **Detailfeld** des Ereignisses, z. B. und. `"AWS API Call via CloudTrail"` `"EC2 Instance State-change Notification"` | Detailtyp, Null |
| Ereignisse: Detail. eventTypeCode | `"events:detail.eventTypeCode":"eventTypeCode"` Für*eventTypeCode*, verwenden Sie die Literalzeichenfolge für das **Detail. eventTypeCode**Feld des Ereignisses, z. B. `"AWS_ABUSE_DOS_REPORT"` | eventTypeCode, Null |
| events:detail.service | `"events:detail.service":"service"` Für*service*, verwenden Sie die Literalzeichenfolge für das **detail.service-Feld** des Ereignisses, z. B. `"ABUSE"` | service, Null |
| events:detail.userIdentity.principalId | `"events:detail.userIdentity.principalId":"principal-id"` Verwenden Sie für *principal-id* die Literalzeichenfolge für das Feld **detail.userIdentity.PrincipalID** des Ereignisses mit einem Detailtyp wie. `"AWS API Call via CloudTrail"` `"AROAIDPPEZS35WEXAMPLE:AssumedRoleSessionName."` | Principal-ID, Null |
| Ereignisse: eventBusInvocation | `"events:eventBusInvocation":"boolean"` Verwenden Sie für true*boolean*, wenn eine Regel ein Ereignis an ein Ziel sendet, bei dem es sich um einen Event-Bus in einem anderen Konto handelt. Verwenden Sie false, wenn ein `PutEvents`-API-Aufruf verwendet wird. | eventBusInvocation, Null |
| Ereignisse: ManagedBy | Wird intern von AWS Diensten verwendet. Bei einer Regel, die von einem AWS Dienst in Ihrem Namen erstellt wurde, entspricht der Wert dem Prinzipalnamen des Dienstes, der die Regel erstellt hat. | Nicht für die Verwendung in Kundenrichtlinien vorgesehen. |
| events:source | `"events:source":"source "` Verwenden Sie *source* dies für die Literalzeichenfolge für das Quellfeld des Ereignisses, z. B. `"aws.ec2"` oder`"aws.s3"`. Weitere mögliche Werte für *source* finden Sie in [Ereignisse aus AWS Diensten](eb-events.md#eb-service-event) den Beispielereignissen unter. | Quelle, Null |
| Ereignisse: TargetArn | `"events:TargetArn":"target-arn "` Verwenden Sie zum *target-arn* Beispiel den ARN des Ziels für die Regel`"arn:aws:lambda:*:*:function:*"`. | ArrayOfARN, Null |
Richtlinienerklärungen für finden Sie EventBridge beispielsweise unter[Verwaltung der Zugriffsberechtigungen für Ihre EventBridge Amazon-Ressourcen](eb-manage-iam-access.md).
**Topics**
+ [EventBridge Bedingungsschlüssel](#conditions-table)
+ [EventBridge Einzelheiten zu Rohrleitungen](#eb-pipes-condition-diff)
+ [Beispiel: Verwenden der Bedingung `creatorAccount`](#eb-events-creator-account)
+ [Beispiel: Verwenden der Bedingung `eventBusInvocation`](#eb-events-bus-invocation)
+ [Beispiel: Einschränken des Zugriffs auf eine bestimmte Quelle](#eb-events-limit-access-control)
+ [Beispiel: Definieren mehrerer Quellen, die einzeln in einem Ereignismuster verwendet werden können](#eb-events-pattern-sources)
+ [Beispiel: Sicherstellen, dass die Quelle im Ereignismuster definiert ist](#eb-source-defined-events-pattern)
+ [Beispiel: Definieren einer Liste der zulässigen Quellen in einem Ereignismuster mit mehreren Quellen](#eb-allowed-sources-events-pattern)
+ [Beispiel: Beschränken des `PutRule`-Zugriffs durch `detail.service`](#eb-limit-rule-by-service)
+ [Beispiel: Beschränken des `PutRule`-Zugriffs durch `detail.eventTypeCode`](#eb-limit-rule-by-type-code)
+ [Beispiel: Stellen Sie sicher, dass nur AWS CloudTrail Ereignisse für API-Aufrufe von einem bestimmten Ort aus zulässig `PrincipalId` sind](#eb-consume-specific-events)
+ [Beispiel: Einschränken des Zugriffs auf Ziele](#eb-limiting-access-to-targets)
## EventBridge Einzelheiten zu Rohrleitungen
EventBridge Pipes unterstützt keine zusätzlichen Bedingungsschlüssel für IAM-Richtlinien.
## Beispiel: Verwenden der Bedingung `creatorAccount`
Das folgende Beispiel für eine Richtlinienanweisung zeigt, wie die Bedingung `creatorAccount` in einer Richtlinie verwendet wird, um die Erstellung von Regeln nur zuzulassen, wenn das als `creatorAccount` angegebene Konto das Konto ist, das die Regel erstellt hat.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowPutRuleForOwnedRules",
"Effect": "Allow",
"Action": "events:PutRule",
"Resource": "*",
"Condition": {
"StringEqualsIfExists": {
"events:creatorAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
## Beispiel: Verwenden der Bedingung `eventBusInvocation`
Der `eventBusInvocation` gibt an, ob der Aufruf von einem kontoübergreifenden Ziel oder einer `PutEvents`-API-Anfrage stammt. Der Wert ist **true**, wenn der Aufruf aus einer Regel resultiert, die ein kontoübergreifendes Ziel beinhaltet, z. B. wenn es sich bei dem Ziel um einen Event Bus in einem anderen Konto handelt. Der Wert ist **false**, wenn der Aufruf aus einer `PutEvents`-API-Anfrage resultiert. Das folgende Beispiel zeigt einen Aufruf von einem kontoübergreifenden Ziel an.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCrossAccountInvocationEventsOnly",
"Effect": "Allow",
"Action": "events:PutEvents",
"Resource": "*",
"Condition": {
"BoolIfExists": {
"events:eventBusInvocation": "true"
}
}
}
]
}
```
------
## Beispiel: Einschränken des Zugriffs auf eine bestimmte Quelle
Folgende Beispielrichtlinien können einem IAM-Benutzer zugeordnet werden. Richtlinie A ermöglicht die `PutRule`-API-Aktion für alle Ereignisse, während Richtlinie B `PutRule` nur dann zulässt, wenn das Ereignismuster der erstellten Regel mit den Amazon-EC2-Ereignissen übereinstimmt.
**Richtlinie A: alle Ereignisse zulassen**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowPutRuleForAllEvents",
"Effect": "Allow",
"Action": "events:PutRule",
"Resource": "*"
}
]
}
```
------
**Richtlinie B: nur Ereignisse von Amazon EC2 zulassen**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowPutRuleForAllEC2Events",
"Effect": "Allow",
"Action": "events:PutRule",
"Resource": "*",
"Condition": {
"ForAllValues:StringEquals": {
"events:source": "aws.ec2"
}
}
}
]
}
```
------
`EventPattern` ist ein obligatorisches Argument für `PutRule`. Wenn der Benutzer mit Richtlinie B `PutRule` mit einem Ereignismuster wie dem folgenden aufruft, gilt daher Folgendes.
```
{
"source": [ "aws.ec2" ]
}
```
Die Regel würde erstellt werden, da die Richtlinie diese bestimmte Quelle zulässt, d. h. `"aws.ec2"`. Wenn der Benutzer mit Richtlinie B jedoch `PutRule` mit einem Ereignismuster wie dem folgenden aufruft, wird die Erstellung der Regel abgelehnt, da die Richtlinie diese bestimmte Quelle nicht zulässt, d. h. `"aws.s3"`.
```
{
"source": [ "aws.s3" ]
}
```
Im Wesentlichen darf der Benutzer mit Richtlinie B nur eine Regel erstellen, die mit den Ereignissen aus Amazon EC2 übereinstimmt, weshalb er nur Zugriff auf die Ereignisse aus Amazon EC2 erhält.
In der folgenden Tabelle finden Sie einen Vergleich von Richtlinie A und Richtlinie B.
| Ereignismuster | Zulässig durch Richtlinie A | Zulässig durch Richtlinie B |
| --- | --- | --- |
| {
"source": [ "aws.ec2" ]
} | Ja | Ja |
| {
"source": [ "aws.ec2", "aws.s3" ]
} | Ja | Nein (die Quelle aws.s3 ist nicht zulässig) |
| {
"source": [ "aws.ec2" ],
"detail-type": [ "EC2 Instance State-change Notification" ]
} | Ja | Ja |
| {
"detail-type": [ "EC2 Instance State-change Notification" ]
} | Ja | Keine (Quelle muss angegeben werden) |
## Beispiel: Definieren mehrerer Quellen, die einzeln in einem Ereignismuster verwendet werden können
Die folgende Richtlinie ermöglicht es einem IAM-Benutzer oder einer IAM-Rolle, eine Regel zu erstellen, deren Quelle im `EventPattern` entweder Amazon EC2 oder Amazon ECS ist.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowPutRuleIfSourceIsEC2OrECS",
"Effect": "Allow",
"Action": "events:PutRule",
"Resource": "*",
"Condition": {
"ForAllValues:StringEquals": {
"events:source": [
"aws.ec2",
"aws.ecs"
]
}
}
}
]
}
```
------
Die folgende Tabelle zeigt einige Beispiele für Ereignismuster, die durch diese Richtlinie zugelassen oder abgelehnt werden.
| Ereignismuster | Zulässig durch die Richtlinie |
| --- | --- |
| {
"source": [ "aws.ec2" ]
} | Ja |
| {
"source": [ "aws.ecs" ]
} | Ja |
| {
"source": [ "aws.s3" ]
} | Nein |
| {
"source": [ "aws.ec2", "aws.ecs" ]
} | Nein |
| {
"detail-type": [ "AWS API Call via CloudTrail" ]
} | Nein |
## Beispiel: Sicherstellen, dass die Quelle im Ereignismuster definiert ist
Die folgende Richtlinie ermöglicht Benutzern nur das Erstellen von Regeln mit `EventPatterns`, die über ein Quellfeld verfügen. Mit dieser Richtlinie können IAM-Benutzer oder IAM-Rollen keine Regel mit einem `EventPattern` erstellen, das keine bestimmte Quelle angibt.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowPutRuleIfSourceIsSpecified",
"Effect": "Allow",
"Action": "events:PutRule",
"Resource": "*",
"Condition": {
"Null": {
"events:source": "false"
}
}
}
]
}
```
------
Die folgende Tabelle zeigt einige Beispiele für Ereignismuster, die durch diese Richtlinie zugelassen oder abgelehnt werden.
| Ereignismuster | Zulässig durch die Richtlinie |
| --- | --- |
| {
"source": [ "aws.ec2" ],
"detail-type": [ "EC2 Instance State-change Notification" ]
} | Ja |
| {
"source": [ "aws.ecs", "aws.ec2" ]
} | Ja |
| {
"detail-type": [ "EC2 Instance State-change Notification" ]
} | Nein |
## Beispiel: Definieren einer Liste der zulässigen Quellen in einem Ereignismuster mit mehreren Quellen
Die folgende Richtlinie ermöglicht Benutzern das Erstellen von Regeln mit `EventPatterns`, die über ein Quellfeld verfügen. Jede Quelle im Ereignismuster muss Mitglied der in der Bedingung angegebenen Liste sein. Wenn Sie die Bedingung `ForAllValues` verwenden, müssen Sie mindestens eines der Elemente in der Bedingungsliste definieren.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowPutRuleIfSourceIsSpecifiedAndIsEitherS3OrEC2OrBoth",
"Effect": "Allow",
"Action": "events:PutRule",
"Resource": "*",
"Condition": {
"ForAllValues:StringEquals": {
"events:source": [ "aws.ec2", "aws.s3" ]
},
"Null": {
"events:source": "false"
}
}
}
]
}
```
------
Die folgende Tabelle zeigt einige Beispiele für Ereignismuster, die durch diese Richtlinie zugelassen oder abgelehnt werden.
| Ereignismuster | Zulässig durch die Richtlinie |
| --- | --- |
| {
"source": [ "aws.ec2" ]
} | Ja |
| {
"source": [ "aws.ec2", "aws.s3" ]
} | Ja |
| {
"source": [ "aws.ec2", "aws.autoscaling" ]
} | Nein |
| {
"detail-type": [ "EC2 Instance State-change Notification" ]
} | Nein |
## Beispiel: Beschränken des `PutRule`-Zugriffs durch `detail.service`
Sie können einen IAM-Benutzer oder eine IAM-Rolle zum Erstellen von Regeln nur für Ereignisse beschränken, die einen bestimmten Wert im Feld `events:details.service` aufweisen. Der Wert von `events:details.service` ist nicht unbedingt der Name eines AWS Dienstes.
Diese Richtlinienbedingung ist hilfreich, wenn Sie mit Ereignissen arbeiten AWS Health , die sich auf Sicherheit oder Missbrauch beziehen. Durch die Verwendung dieser Richtlinienbedingung können Sie den Zugriff auf diese sensiblen Warnungen auf ausschließlich diejenigen Benutzer einschränken, die diese unbedingt sehen müssen.
Beispiel: Die folgende Richtlinie ermöglicht das Erstellen von Regeln nur für Ereignisse, in denen der Wert von `events:details.service` `ABUSE` ist.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowPutRuleEventsWithDetailServiceEC2",
"Effect": "Allow",
"Action": "events:PutRule",
"Resource": "*",
"Condition": {
"StringEquals": {
"events:detail.service": "ABUSE"
}
}
}
]
}
```
------
## Beispiel: Beschränken des `PutRule`-Zugriffs durch `detail.eventTypeCode`
Sie können einen IAM-Benutzer oder eine IAM-Rolle zum Erstellen von Regeln nur für Ereignisse beschränken, die einen bestimmten Wert im Feld `events:details.eventTypeCode` aufweisen. Diese Richtlinienbedingung ist hilfreich, wenn Sie mit Ereignissen aus AWS Health dem Bereich Sicherheit oder Missbrauch arbeiten. Durch die Verwendung dieser Richtlinienbedingung können Sie den Zugriff auf diese sensiblen Warnungen auf ausschließlich diejenigen Benutzer einschränken, die diese unbedingt sehen müssen.
Beispiel: Die folgende Richtlinie ermöglicht das Erstellen von Regeln nur für Ereignisse, in denen der Wert von `events:details.eventTypeCode` `AWS_ABUSE_DOS_REPORT` ist.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowPutRuleEventsWithDetailServiceEC2",
"Effect": "Allow",
"Action": "events:PutRule",
"Resource": "*",
"Condition": {
"StringEquals": {
"events:detail.eventTypeCode": "AWS_ABUSE_DOS_REPORT"
}
}
}
]
}
```
------
## Beispiel: Stellen Sie sicher, dass nur AWS CloudTrail Ereignisse für API-Aufrufe von einem bestimmten Ort aus zulässig `PrincipalId` sind
Alle AWS CloudTrail Ereignisse haben den PrincipalId Wert des Benutzers, der den API-Aufruf getätigt hat, im `detail.userIdentity.principalId` Pfad eines Ereignisses. Mithilfe des `events:detail.userIdentity.principalId` Bedingungsschlüssels können Sie den Zugriff von IAM-Benutzern oder -Rollen auf die CloudTrail Ereignisse auf Ereignisse beschränken, die von einem bestimmten Konto stammen.
```
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowPutRuleOnlyForCloudTrailEventsWhereUserIsASpecificIAMUser",
"Effect": "Allow",
"Action": "events:PutRule",
"Resource": "*",
"Condition": {
"StringEquals": {
"events:detail-type": [ "AWS API Call via CloudTrail" ],
"events:detail.userIdentity.principalId": [ "AIDAJ45Q7YFFAREXAMPLE" ]
}
}
}
]
}
```
Die folgende Tabelle zeigt einige Beispiele für Ereignismuster, die durch diese Richtlinie zugelassen oder abgelehnt werden.
| Ereignismuster | Zulässig durch die Richtlinie |
| --- | --- |
| {
"detail-type": [ "AWS API Call via CloudTrail" ]
} | Nein |
| {
"detail-type": [ "AWS API Call via CloudTrail" ],
"detail.userIdentity.principalId": [ "AIDAJ45Q7YFFAREXAMPLE" ]
} | Ja |
| {
"detail-type": [ "AWS API Call via CloudTrail" ],
"detail.userIdentity.principalId": [ "AROAIDPPEZS35WEXAMPLE:AssumedRoleSessionName" ]
} | Nein |
## Beispiel: Einschränken des Zugriffs auf Ziele
Wenn ein IAM-Benutzer oder eine IAM-Rolle `events:PutTargets`-berechtigt ist, kann er oder sie im selben Konto den Regeln, auf die er oder sie zugreifen kann, beliebige Ziele hinzufügen. Die folgende Richtlinie beschränkt Benutzer darauf, Ziele nur einer bestimmten Regel hinzuzufügen: `MyRule` im Konto `123456789012`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowPutTargetsOnASpecificRule",
"Effect": "Allow",
"Action": "events:PutTargets",
"Resource": "arn:aws:events:us-east-1:123456789012:rule/MyRule"
}
]
}
```
------
Mit dem `events:TargetArn`-Bedingungsschlüssel legen Sie fest, welches Ziel der Regel hinzugefügt werden darf. Sie haben die Möglichkeit, Ziele nur auf Lambda-Funktionen zu beschränken (siehe folgendes Beispiel).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowPutTargetsOnASpecificRuleAndOnlyLambdaFunctions",
"Effect": "Allow",
"Action": "events:PutTargets",
"Resource": "arn:aws:events:us-east-1:123456789012:rule/rule-name",
"Condition": {
"ForAnyValue:ArnLike": {
"events:TargetArn": "arn:aws:lambda:*:*:function:*"
}
}
}
]
}
```
------